Посещая наш сайт, вы соглашаетесь с нашей политикой конфиденциальности в отношении файлов cookie, статистики отслеживания и т. д.

Главная » Вопросы и ответы » Информационная безопасность

Обновление массовой сертификации компрометации SAML SolarWinds Orion

На чтение 4 мин Опубликовано
Содержание
  1. Вопрос или проблема
  2. Ответ или решение
  3. Обновление сертификатов SAML после компрометации SolarWinds Orion
  4. Шаги по обновлению SAML сертификатов:
  5. Заключение

Вопрос или проблема

Клиенты SolarWinds Orion, по сообщениям новостей, столкнулись с определенными компрометациями сети.

В одном из отчетов говорится, что в конце статьи сертификаты подписи SAML2.0 могли быть скомпрометированы.

С точки зрения поставщика услуг SAML (это я!), это означает, что злоумышленники могут подделать Аутентификационные сообщения (учетные данные) для нашей службы. Наши клиенты определенно этого не хотят. И мы тоже.

Вероятно, наши клиенты, которые

  1. используют SAML и
  2. пострадали от этих злоумышленников

пойдут на изменение своих публичных ключей SAML в нашей системе и в аналогичных системах. Быстро!

Система сертификации и отзыв сертификатов, встроенная в браузер TLS, не поможет: многие из этих сертификатов подписи SAML самоподписанные; они просто используются для обмена криптографическими ключами для подписей документов.

Для этого конкретного типа чрезвычайной ситуации в области информационной безопасности есть ли какие-либо лучшие практики по управлению подобным массовым обновлением сертификатов между системами? Я бы даже хотел увидеть некоторые реальные практики…

1. использовать SAML и

Я бы предложил предоставить клиентам четкое пошаговое руководство о том, как обновить новые сертификаты SAML.

2. пострадали от этих злоумышленников

Вероятно, в этом случае будет ответ из пункта 1, а также с точки зрения обнаружения и мониторинга.
Также стоит учитывать этапы вашей реакции на инциденты:
сдерживание, ликвидация, восстановление и анализ после инцидента.

Мониторьте трафик SAML и просматривайте журналы SAML, а также обеспечьте наличие обнаружения типа UEBA. Проводите ретроспективные проверки в окружающей среде.

Это были бы некоторые из лучших практик, принятых и адаптированных в соответствии с окружающей средой каждой организации.

Ответ или решение

Обновление сертификатов SAML после компрометации SolarWinds Orion

Недавнее событие, связанное с компрометацией программного обеспечения SolarWinds Orion, привело к значительным проблемам безопасности для тысяч организаций. Среди наиболее важных аспектов, требующих немедленного внимания, является вероятность компрометации сертификатов подписки SAML 2.0. Это создаёт риски для SAML-поставщиков услуг, поскольку злоумышленники могут подделывать утверждения (credentials) и получать доступ к системам, что недопустимо как для ваших клиентов, так и для вашего бизнеса.

Если вы являетесь SAML-поставщиком услуг для клиентов, пострадавших от данного инцидента, важно следовать определённым рекомендациям для обеспечения безопасности и быстрого устранения возникших угроз.

Шаги по обновлению SAML сертификатов:

  1. Коммуникация с клиентами:

    • Создайте и распространите чёткое руководство для клиентов о том, как обновить сертификаты SAML. Это руководство должно включать:
      • Список шагов для выполнения обновления.
      • Ссылки на ресурсы и документацию.
      • Указание на срок выполнения обновления.

  2. Проверка и мониторинг:

    • Рекомендуйте клиентам активировать мониторинг трафика SAML и регулярно проверять логи SAML на предмет аномальной активности. Инструменты, такие как системы обнаружения аномалий поведения пользователя (UEBA), могут помочь в выявлении потенциальных угроз.

  3. Реакция на инциденты:

    • Запланируйте фазы реагирования на инциденты:
      • Сдерживание: сделать все возможное для ограничения ущерба и изоляции пострадавших систем.
      • Устранение: выявить и удалить воздействие злоумышленников, в том числе смену сертификатов SAML и аутентификационных данных.
      • Восстановление: восстановить нормальную работу систем и обеспечить их безопасность.
      • Анализ после инцидента: провести всесторонний анализ инцидента для выявления причин и предотвращения повторения событий в будущем.

  4. Обновление сертификатов:

    • При обновлении сертификатов важно учитывать, что многие сертификаты самоподписанные, что исключает помощь от стандартных процедур отзыва сертификатов через центры сертификации (CA). Убедитесь, что старые сертификаты отозваны и больше не используются.

  5. Обучение и подготовка:

    • Приложите усилия для обучения своих сотрудников и клиентов. Информируйте их о рисках, связанных с SAML, а также о том, как предотвратить подобные инциденты в будущем.

Заключение

Контекстная информация о компрометации SolarWinds Orion требует немедленных и скоординированных действий со стороны SAML-поставщиков услуг. Следуя приведённым рекомендациям, вы сможете минимизировать риски, защитить данные своих клиентов и сохранить доверие к вашему сервису.

Ваша способность обеспечить безопасное использование технологий SAML будет напрямую влиять на вашу репутацию и успех в долгосрочной перспективе. Обеспечьте своим клиентам надежность и безопасность, следуя лучшим практикам в сфере информационной безопасности.

breach certificate-revocation certificates saml system-compromise
Оцените материал
Добавить комментарий

Капча загружается...

© 2024 IZ6.RU
*В материалах сайта упоминаются социальные сети Фейсбук / Инстаграм, принадлежащие Meta Platforms Inc., деятельность которой запрещена на территории РФ в части реализации данных социальных сетей на основании осуществления ею экстремистской деятельности